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- ما هي ال ٤ع٥1PS؟‏ 

البروتوكولات والخوارزميات طورت بواسطة 
اللجنة الخاصة لنظام الإنترنت ٤٤٣۲ع†ہ1‏ 
TS Ek e (IETF)‏ واعتمدت 
شبکات ال1P.‏ و را ا في طبقة 
ال1۴ بحيث تتمكن من حماية أي نوع من 
نقل البيانات من خلال ال٧1.‏ 

عادة يعبر عنj Transparent lil 1°SeCJ|‏ 
اProtoco Security‏ لأن المستخدم و 
التطبيقات لايشعرون بوجودها لأنها تعمل 
على طبقة اllبıبكة‏ ) Network Layer‏ (« 
ويعمل ال ٤1۴56فقي‏ البيئات التي تكون 
سرعة الاتصال بها سريعة. 

- بروتوکولات الC٤ع۲P5S]‏ 

ينعسم ال Pec‏ ]الى تلات بروتوکولات: 

AH : Authentication Header :o 
یستخدم ال۸۳ في توقيع 519۸ الرسائل‎ 
والبيانات ولا يعمل على تشفيرها‎ 
حیت یحافظ علی:‎ . Encryption 


١.موثوقية‏ lلlilıٽ :Data authenticity‏ 
اي أن البيانات المرسلة من هذا . 
المستخدم هي منه ولیست مزورة أو 


٣.صحة‏ llبlilaٽ Data Integrity‏ : آي آن 
الطريق (أثناء مرورها على الأسلاك) . 


.عدم |عlدة‏ lllۈرJiwu Anti-Replay‏ : 
وهذه الطريقة التي يستخدمها المخترقون 
حيث يقومون بسرقة كلمة المرور وهي 
مشفرة ويقومون بإعادة إرسالها قي وقت 
اخر للسيرفر وهي مشفرة وبالطبع يفك 
السيرفر التشفير ويدخل اسم المستخدم 
على أنه شسشخص آخرء فالء 1۲۴56 يقدم حلولاً 
لمنع هذه العملية من الحدوث. 


٤.الحماية‏ ضد llخدgl Anti-Spoofing‏ 
protection‏ : ويوفر أيضاً الC٤‏ 1۴56 حمایة 
ضد ا من قبل المستحدمين ê:‏ 
لغير المستخدمين على أل sub”‏ 
×.192.168.0 بينما لا يسمح لحاملي 


الهویه ۱۹۲.۱۰۹۱۸.۰۱.× من دخول السيرفر ؛ 
فيمكن للمستخدم ان يغير الكئع/r Add‏ 1۲° 


الخاص به » لكن الءع1۲5 يمنع ذلك .(وايضا 
يمكنك القياس على ذلك من خارج الشبكه 
الى داخلها) يكون لكل حزمة أPacke‏ 
.Digitally signed leg‏ 

هذا هو الشكل العام لحزمة البيانات 
Packet‏ التي تمر في بروتوکول A۸۳۸‏ . 


Encapsulating Security : ESP :Îili 
Payload 

يوفر هذا البروتوكول التشفير والتوقيع 
lJبlyنlٽ Encryption and Signing lg‏ « و 
یستخدم هذا البروتوکول في کون 


المعلومlات‏ سwرية Secret gl Confidential‏ : 
او عند ارسال المعلومات عن طریق عc٤ااbںم٥‏ 
Network)‏ متل الانترنت. 

يوفر ال ٥5ع‏ المزايا التالية: 


Source authentication. \‏ : وھي 
مصداقية المرسل » حيث كما وضحنا في 
مثال الو" ا۴ههم5 آنه لا يمکن لي شخص 
یستخدم ال٤ع1۴5‏ تزویر هويته (هوية 


المرسل). 


l!.Yتıر‏ lilaıllٽ Data Encrypt”‏ : 
حبث يوفر التشفير للبيانات لحمايتها من 
التعديل أو التغيير أو القراءة. 


. A۸ ٣1لا موضحة في‎ : Ant1-Replay.۲ 


Anti-Spoofing Protection.‏ : موضحة 
في ال .A۸۳۸‏ 

Internet Key Exchange : IKE : Jli 
الوظيفة الاساسيه لهذا البروتوكول هي‎ 
ضمان الكيفية وعملية توزيع ومشاركة‎ 
> 1۴5ع٤لأ بين مستخدمي‎ K€۷5S المفاتيح‎ 


فهو بروتوکول ال0 ةناوع" أي النقاش 
في نظام ال٤‏ 1۴56 كما انه يعمل علی 
تأكيد طريقة الموثوقية Authenticati0¬‏ 
والمفاتيح الواجب استخدامها ونوعها (حيث 
ان الc 1۴5e‏ یستخدم التشفیر 0۴5۳ وھو 
عبارة عن زوج من المفاتيح ذاتها يتولد 
عشوائيا بطرق حسابية معقدة ويتم إعطاءه 
فقط للجهة التانية ويمنع توزيعه وهو من 
نوع Symmetric Encryption‏ آي التشفیر 
المتوازي ويستخدم تقنية Private KeyJ|‏ . 

- أقسام ال 1PS‌e‏ 

أو أنواع الءع1۴5 التي يستخدمها في 
الشبكةء > وینقسم ال 1Se‏ الى نظامین او 
نوعین وهما : 


Transport Mode Jقaiلll نظام‎ .١ 
. Mode Tunnel Jفغنلا| نظام‎ .۲ 


نظام النقل: بستخدم هذا النظام عادة 
داخل الشبكة انلمحlيةö Local Area : LAN‏ 
NetWork)‏ حبت یقدم خدمات التشفير 
للبيانات التي تتطابق والسياسة المتبعة 


Îي Endpoint-to-Endpoint gı‏ 
Encryption‏ فمتلاً اذا قمت بضبط سیاسة 
العم۴5] على تشفير حميع الحركة التي 

تتم علی بورت ۲۲ وهو بورت آلا ٥٣ا٥۲‏ 
(حيٿ ان الا6" !ا٤۲‏ ترسل کل شيءَ متلما 
هو دون تشفیر ١۵ا٣ ۲٥×‏ ) فاذا تمت 
ماده و الس وله دو عا 5ا 
البورت فان الcء1۲56‏ یقوم بتشفیر کل 
البيانات المرسلة من لحظت خروجها من 
جهاز المستخدم الى لحظة وصولها الى 
السيرفر. يتم تطبيق هذا النظام في 
الحالات التالية: 


أولآ: المحادثة تتم بين الأجهزة في داخل أو 
نفس الشبكة الداخلية الخاصة عاivaا"‏ 
„LAN‏ 


ثانيا: المحادتة تتم بين جهازين ولا يقطع 
بینهما ۴۲٤۷۵1‏ حائط ناري يعمل عمل N۸۲‏ 
Network Address Translation‏ : )iۈbظlمp‏ 
یمکن الاا۵ ۴٣٤۷‏ من استبدال جمیع 
عناوین الئ1۴ في الشبکه الداخليه من 
حزمة البيانات أع‌)عج۲ واستبدالها في 
عنوان 1۲ ءأاطلا۴ اخر » ونستفيد من ذلك 


هو أننا لن نحتاج سویى الى عنوان 1۴ واحد 
One Public IP‏ وايضاً آنه يقوم ر 

من الاختراق الخارحي) . 

نظام النفقى: يتم استخدام هذا النظام 
لتطبيق أال٤٥1۴5]‏ بين نقطتين تكون بالعادة 
بين ll « Routers Y‏ يتم استخدام هذا 
النظام بين نقطتين بعيدتين جغرافياً أي 
سيتم قطع الانترنت في طريقها الى الطرف 
الثاني » متل الاتصالات التي تحدت بين 
الشبكات المتباعدo‏ جéرlıl WAN : Wide‏ 
Network Area‏ . یستخدم هذا النظام فقط 
عند الحاجه لتامين البيانات فقط اتناء 
مرورها من مناطق غير آمنة كالانترنت › 
فمتلا إذا اراد فرعين لشركة أن يقوم 
بتشفير جميع البيانات التي يتم إرسالها 
فیما بینهم علی بروتوکول ٥ا۴‏ : ۴۲۲٣‏ 
IPSecJl! slıeع| piz Transfer Protocol‏ 

. Tunnelling Modedl wlwl ع”‎ 


وهذه صوره مخطط لکل من الکئاz)e‏ ة٣‏ قي 
ال A۸‏ . ۶ في کلتا النظامین ٣٥٤١‏ ۸ںآ 
and Transport Modes‏ . 
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IPSec Benefits oدilgs9‎ - 


ال Encryption‏ العادية التي تتم بين الأجهزه 
في الشبكات . وهذا الضعف تمثل في 
صعوبة تطبيق هذا الموضوع » وأيضا 
استهلاكه للوقت أي بطؤه الشديد في 
القيام بعملية التشفير وفكه 0۸٥0|أ۲۷Y6 ENC‏ 
and decryption‏ .فالفائدة الکبرى التي 
ظهرت في الءع1۲5 هي انه يوفر حماية 
كاملة وواضحة لجميع البروتوكولات التي 
تعمل على الطبقة الثالث Layer 3 of he‏ 
أMode‏ 051 وما بعدھا. 


من ممیزات IPSecJl‏ أيضا هو أنه موحود 


أصلاً Built-in‏ في داخJ‏ >jمة IP Packet‏ 
. فلذلك هو لا يحتاج لأي إعدادت لانتقاله 
عد ل ل ا ا 

لذلك . 


- کیف یحمی العc‌ع1۲S‏ من الهجوم 
على الشيكة؟ 


إن الشبكة والبيانات التي تمر فيها يمكن 
ان تتعرض للعديد من انواع الهجمات 
المختلفة . بعض الهجمات تكون غير فعاله 
Passive‏ متل مراقبة lنلشıکكة Network‏ 
Active Jlaall ga le lpiog . Monitoring‏ 
مما يعني أنها يمكن أن تتفير البيانات أو 
تسرق في طريقها عبر أسلاك الشبكة. و 
سوق نستعرض بعض انواع الهجمات على 
الشبكات. 

أولآ: التقاط حزم البيانات 

Eavesdropping, sniffing or 

n00pin9ء:حيث‏ يتم بذلك مراقبة حزم 
البيانات التي تمر على الشبكه بنصها 
الواضح دون تشفير أ×عا ٣‏ أةا٣‏ والتقاط ما 
نرد منها » ویعالجها ال٤‏ 1۴56 عن طریق 


تشفير حزمة البيانات. عندها حتى لو 
التقطت الحزمة فإن الفاعل لن يستطيع 
قراءتها أو العبث بهاء لأن الطرف الوحيد 
الذي يملك مفتاح فك التشفير هو الطرفق 
المستقبل. 

تانيا: تعديل البيانات قاة50 
mdificationص:حيت‏ يتم بذلك سرقة حزم 
البيانات من الشبكة تم تعديلها واعادة 
إرسالها إلى المستقبلء ويقوم الC٤ع1۲۴95‏ 
بمنع ذلك عن طریق استخدام الھاشن 1ئ٣‏ 
ووضعه مع البیانات تم تشفیيرها معا ؛ 
وعندما تصل الحزمة إلى الطرق المستقبل 
فان الجهاز يفحص 51.۳)ء٤ع۸ع‏ التايع للحزمة 
إذا تمت مطابقته أم لاء فإذا تمت المطابقة 
مع الماش الأصلي المشفر تبين أن الحزمة 
لم تعدل» لكن إذا تغفير الهاش فإن حزمة 
البيانات قد تم تغييرها على الطريق. 

تالنا: انتحال الشخصة Identity‏ 
oofingمء:‏ بجحیٹ یتم استخدام حزم 
البيانات على الشبكة والتقاطها وتعديلها 
لتبين هوية مزورة للمرسلء اي خداع 
المستقبل بهوية المرسلء ويمنع ذلك عن 
طريق الطرق التلاته التي يستخدمها 

الء ع1۴5 وهي: بروتوکول الکیربرس 


Kerberos)‏ اProtoco).‏ والشھادات 
الالكترونية كعأCertif|ca‏ اهitوi.‏ ومشاركة 
مغتlح‏ مgعjı .(Preshared Key)‏ 

حيث لا تتم عملية بدا المحادتة وإرسال 
البيانات قبل التاكد من صحة الطرف الثاني 
عن طريق احدى الطرق المذكورة. 


رlيعl: Service DoS -Denial of‏ رفض 
الخدمه او حجبها: حیت تعمل هذه 
الهحمة على تعطيل خدمة من خدمات 
الشبكه للمستخدمين والمستفيدين منها › 
مثلاً كاشغال السيرفر في الشبكة بعمل 
عليه ۴٣۵۵‏ مما یشغله بالرد على هذه 
الأمور وعدم الاستجابة للمستخدمين. 
ويعمل الءع1۲5 على منع ذلك عن طريق 
إمكانية غلقه او وضع قواعد للمنافذ 
المفتوحة كااهم٥.‏ 

خlمÎw: :Middle MITM -Man In The‏ 
من أشهر الهجمات قي الشبكات» وهي أن 
يكون هنالك طرف تالت يعمل على سرقة 
البيانات المرسلة من طرق لأآخر وإمكانية 
العمل على تعديلها او العمل على عدم 
إيصالها للجانب الاخر» ويعمل الءع1۴5 على 
منعه بواسطة طرق التحقق من الموتوقية 


. Authentication methods 


سادسا: الهجمات على طبقة 
illطlaıٽت Application Layer‏ 

Attacks‏ : حیث تعمل هذه الهجمات على 
التأثير على النظام المستخدم في أجهزة 
الشبكة وأيضاً تعمل على التأتير على 
البرامج المستخدمة في الشبكة» ومن 
الأمثله عليها الفيروسات والديدان التي 
تنتشر بفعل تغرات فى الأنظمة أو البرامج 
أو حنتی اخطاء المستخدمين. يعمل 
العم۴5] على الحماية من ذلك بكونه يعمل 
على طبقة ۵۷6۲ا 1۴ فيعمل على إسقاط 
اي حزمة بيانات لا تتطابق مع الشروط 
الموضوعة لذلك . لذا فتعمل الفلاتر على 
إسقاطها وعدم إيصالها للأنظمة أو البرامج. 


بشکل ق فالP5ec] E‏ من معظم 
التشفير د > حيث يوفر التشفير 
الحماية للبيانات والمعلومات ايا كانت اثناء 
انتقالها على الوسط (ایاً کان) عن طريق 
عملیتي التشفیر ۴۸٥۲۷۲0۸‏ والھاش 
.Hashing‏ 


طريقة التشفير المستخدمة في أل٤ع1°95‏ 
عبارة عن دمج لعدة A۲1۸۳۶‏ ومفاتیح. 


وحيیت 

orÞnmMاA:‏ عباره عن العملية الحسابية 
التي تمر فيها البيانات لكي تشفر. 

۷: وهو عباره عن رقم (کود) سري يتم 
من خلاله قراءه او تعدیل او حذق او التحکم 
فقي البيانات المشفرة بشرط مطابقته 
للطرف الثاني الذي قام بعملية التشفير. 


